Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Microsoft

Microsoft

Microsoft memperbaiki bug zero-day Windows CVE-2021-40444 MSHTML

by

Microsoft hari ini memperbaiki kerentanan zero-day dengan tingkat keparahan tinggi yang dieksploitasi secara aktif dalam serangan yang ditargetkan terhadap Microsoft Office dan Office 365 di komputer Windows 10.

Kelemahan keamanan eksekusi kode jarak jauh (RCE), dilacak sebagai CVE-2021-40444, ditemukan di mesin rendering browser Internet Explorer MSHTML yang digunakan oleh dokumen Microsoft Office.

Menurut Microsoft, CVE-2021-40444 berdampak pada Windows Server 2008 hingga 2019 dan Windows 8.1 atau lebih baru, dan memiliki tingkat keparahan 8,8 dari maksimum 10.

Untungnya, serangan ini dapat digagalkan jika Microsoft Office berjalan dengan konfigurasi default, yang membuka dokumen tidak tepercaya dalam mode Protected View (atau dengan Application Guard untuk pelanggan Office 365).

Namun, seperti yang kemudian dikatakan oleh analis kerentanan CERT/CC Will Dormann kepada BleepingComputer, perlindungan bawaan terhadap eksploitasi CVE-2021-40444 ini kemungkinan akan dilewati baik oleh pengguna yang mengabaikan peringatan Protected View atau oleh penyerang yang mengirimkan dokumen berbahaya yang dibundel dalam arsip 7Zip atau ISO kontainer.

Selain itu, Dormann juga menemukan bahwa pelaku ancaman dapat mengeksploitasi kerentanan ini menggunakan file RTF berbahaya, yang tidak memanfaatkan fitur keamanan Protected View Office.

“Microsoft telah merilis pembaruan keamanan untuk mengatasi kerentanan ini,” kata perusahaan hari ini dalam pembaruan penasihat yang diterbitkan sebagai bagian dari Patch Tuesday bulan ini.

“Silakan lihat tabel Pembaruan Keamanan untuk pembaruan yang berlaku untuk sistem Anda. Kami menyarankan Anda segera menginstal pembaruan ini.”

Selengkapnya: Bleeping Computer

Patch Tuesday Microsoft September 2021 memperbaiki 2 zero-day, 60 kerentanan

by

Hari ini adalah Patch Tuesday Microsoft September 2021, dan dengan itu datang perbaikan untuk dua kerentanan zero-day dan total 60 kelemahan.

Microsoft telah memperbaiki 60 kerentanan (86 termasuk Microsoft Edge) dengan pembaruan hari ini, dengan tiga diklasifikasikan sebagai Kritis, satu sebagai Sedang, dan 56 sebagai Penting.

Dari total 86 kerentanan (termasuk Microsoft Edge):

  • 27 Kerentanan Peningkatan Hak Istimewa
  • 2 Kerentanan Bypass Fitur Keamanan
  • 16 Kerentanan Eksekusi Kode Jarak Jauh
  • 11 Kerentanan Pengungkapan Informasi
  • 1 Kerentanan Denial of Service
  • 8 Kerentanan Spoofing

Patch Tuesday September juga mencakup perbaikan untuk dua kerentanan zero-day, dengan bug MSHTML yang dieksploitasi secara aktif di alam liar.

Microsoft mengklasifikasikan kerentanan sebagai zero-day jika diungkapkan secara publik atau dieksploitasi secara aktif tanpa pembaruan keamanan resmi yang dirilis.

Kerentanan zero-day yang diungkapkan secara publik, tetapi tidak dieksploitasi secara aktif adalah:

Satu-satunya kerentanan yang dieksploitasi secara aktif adalah kerentanan eksekusi kode jarak jauh MSHTML Windows, seperti yang telah dibahas sebelumnya:

  • CVE-2021-40444 – Microsoft MSHTML Remote Code Execution Vulnerability

Untuk informasi tentang pembaruan Windows non-security, Anda dapat membaca tentang pembaruan kumulatif Windows 10 KB5005565 & KB5005566 hari ini.

Selengkapnya: Bleeping Computer

Microsoft membagikan perbaikan sementara untuk serangan zero-day Office 365 yang sedang berlangsung

by

Microsoft telah membagikan mitigasi untuk kerentanan eksekusi kode jarak jauh di Windows yang dieksploitasi dalam serangan yang ditargetkan terhadap Office 365 dan Office 2019 di Windows 10.

Kelemahannya ada di MSHTML, mesin rendering browser yang juga digunakan oleh dokumen Microsoft Office.

Diidentifikasi sebagai CVE-2021-40444, masalah keamanan memengaruhi Windows Server 2008 hingga 2019 dan Windows 8.1 hingga 10 dan memiliki tingkat keparahan 8,8 dari maksimum 10.

Microsoft menyadari serangan yang ditargetkan yang mencoba mengeksploitasi kerentanan dengan mengirimkan dokumen Microsoft Office yang dibuat khusus kepada calon korban, kata perusahaan itu dalam sebuah advisory.

Namun, serangan tersebut digagalkan jika Microsoft Office berjalan dengan konfigurasi default, di mana dokumen dari web dibuka dalam mode Protected View atau Application Guard untuk Office 365.

Sistem dengan Microsoft Defender Antivirus dan Defender for Endpoint yang aktif (build 1.349.22.0 dan yang lebih baru) mendapat manfaat dari perlindungan terhadap upaya untuk mengeksploitasi CVE-2021-40444.

Mengatakan kepada BleepingComputer, Haifei Li dari EXPMON mengatakan bahwa penyerang menggunakan file .DOCX. Setelah membukanya, dokumen memuat Internet Explorer engine untuk membuat halaman web jarak jauh dari aktor ancaman.

Malware kemudian diunduh dengan menggunakan kontrol ActiveX tertentu di halaman web. Mengeksekusi ancaman dilakukan dengan menggunakan “trik yang disebut ‘Cpl File Execution’,” yang dirujuk dalam nasihat Microsoft.

Karena tidak ada pembaruan keamanan yang tersedia saat ini, Microsoft telah menyediakan solusi berikut – nonaktifkan penginstalan semua kontrol ActiveX di Internet Explorer.

Untuk menonaktifkan kontrol ActiveX, ikuti langkah-langkah berikut:

  1. Buka Notepad dan tempel teks ini ke dalam file teks. Kemudian simpan file tersebut sebagai disable-activex.reg. Pastikan Anda mengaktifkan tampilan ekstensi file untuk membuat file Registry dengan benar. Atau, Anda dapat mengunduh file registri dari sini.
  2. Temukan disable-activex.reg yang baru dibuat dan klik dua kali di atasnya. Ketika prompt UAC ditampilkan, klik tombol Yes untuk mengimpor entri Registry.
  3. Nyalakan ulang komputer Anda untuk menerapkan konfigurasi baru.

Selengkapnya: Bleeping Computer

Microsoft Mengatakan Peretas China Berada di Balik Serangan Zero Day SolarWinds Serv-U SSH

by

Microsoft telah membagikan detail teknis tentang kerentanan keamanan kritis yang sekarang telah diperbaiki dan dieksploitasi secara aktif yang memengaruhi layanan transfer file terkelola SolarWinds Serv-U yang telah dikaitkan dengan “kepercayaan tinggi” kepada aktor ancaman yang beroperasi di luar China.

Pada pertengahan Juli, perusahaan yang berbasis di Texas memperbaiki kelemahan eksekusi kode jarak jauh (CVE-2021-35211) yang berakar pada implementasi Serv-U dari protokol Secure Shell (SSH), yang dapat disalahgunakan oleh penyerang untuk menjalankan kode apapun. pada sistem yang terinfeksi, termasuk kemampuan untuk menginstal program jahat dan melihat, mengubah, atau menghapus data sensitif.

Sementara Microsoft menautkan serangan ke DEV-0322, sebuah kolektif berbasis di China yang mengutip “viktimologi, taktik, dan prosedur yang diamati,” perusahaan tersebut kini telah mengungkapkan bahwa kerentanan pra-otentikasi jarak jauh berasal dari cara proses Serv-U menangani akses pelanggaran tanpa menghentikan proses, sehingga memudahkan untuk melakukan upaya eksploitasi yang tersembunyi dan andal.

“Kerentanan yang dieksploitasi disebabkan oleh cara Serv-U awalnya membuat konteks OpenSSL AES128-CTR,” kata para peneliti. “Ini, pada gilirannya, dapat memungkinkan penggunaan data yang tidak diinisialisasi sebagai penunjuk fungsi selama dekripsi pesan SSH yang berurutan.”

“Oleh karena itu, penyerang dapat mengeksploitasi kerentanan ini dengan menghubungkan ke port SSH terbuka dan mengirimkan permintaan koneksi pra-auth yang salah. Kami juga menemukan bahwa penyerang kemungkinan menggunakan DLL yang dikompilasi tanpa pengacakan tata letak ruang alamat (ASLR) yang dimuat oleh Server. Prosesnya untuk memfasilitasi eksploitasi,” tambah para peneliti.

Microsoft, yang mengungkapkan serangan tersebut kepada SolarWinds, mengatakan bahwa pihaknya merekomendasikan untuk mengaktifkan kompatibilitas ASLR untuk semua binari yang dimuat dalam proses Serv-U.

Selengkapnya: The Hacker News

Windows 11 tiba pada 5 Oktober, aplikasi Android akan datang kemudian

by

Windows 11 tidak lagi hanya “datang musim gugur ini.” Microsoft akan mulai merilis sistem operasi baru ini ke publik pada tanggal 5 Oktober, dimulai dengan PC yang lebih baru (dan PC yang dijual di toko-toko) dan kemudian diluncurkan ke sistem lain yang didukung selama sembilan bulan ke depan.

Perusahaan juga mengatakan bahwa dukungan aplikasi Android yang didukung Amazon yang datang ke Windows 11 tidak akan siap untuk konsumsi publik saat diluncurkan; Microsoft akan menawarkan “pratinjau [aplikasi Android di Microsoft Store] untuk Windows Insiders selama beberapa bulan mendatang.”

Seperti pembaruan Windows 10 terbaru, Windows 11 akan memiliki peluncuran bertahap melalui Pembaruan Windows—sebagian besar PC tidak akan mulai melihat dan secara otomatis menginstal pembaruan pada 5 Oktober.

Microsoft mengatakan bahwa PC baru akan menjadi yang pertama untuk ditingkatkan, diikuti oleh PC lama yang kompatibel, “berdasarkan model kecerdasan yang mempertimbangkan kelayakan perangkat keras, metrik keandalan, usia perangkat, dan faktor lainnya.”

Seperti halnya pembaruan Windows 10, Anda akan dapat mengunduh file ISO untuk memulai pembaruan sendiri (Microsoft juga menawarkan alat seperti Asisten Pembaruan Windows untuk memicu pemasangan upgrade secara manual; kami berasumsi perusahaan juga akan menyediakan sistem ini untuk Windows 11 ). Semua PC yang kompatibel harus ditawarkan pembaruan pada pertengahan 2022.

Selengkapnya: Ars Technica

Bug Microsoft Exchange ProxyToken dapat membuat peretas mencuri email pengguna

by

Detail teknis telah muncul pada kerentanan serius di Microsoft Exchange Server yang dijuluki ProxyToken yang tidak memerlukan otentikasi untuk mengakses email dari akun target.

Penyerang dapat mengeksploitasi kerentanan dengan membuat permintaan ke layanan web dalam aplikasi Exchange Control Panel (ECP) dan mencuri pesan dari kotak masuk korban.

Dilacak sebagai CVE-2021-33766, ProxyToken memberi penyerang yang tidak diautentikasi akses ke opsi konfigurasi kotak surat pengguna, tempat mereka dapat menentukan aturan penerusan email.

Akibatnya, pesan email yang ditujukan untuk pengguna target juga dapat dikirimkan ke akun yang dikontrol penyerang.

Bug tersebut ditemukan oleh Le Xuan Tuyen, seorang peneliti di Information Security Center of Vietnam Posts and Telecommunications Group (VNPT-ISC) dan dilaporkan melalui program Zero-Day Initiative (ZDI) pada bulan Maret.

Meskipun detail teknis untuk ProxyToken baru dirilis hari ini, upaya eksploitasi telah dicatat sejak tiga minggu lalu.

Menurut Rich Warren, red team untuk NCC Group, ia melihat lebih banyak upaya eksploitasi pada 10 Agustus.

Seperti dalam kasus kerentanan ProxyShell, jika administrator server Microsoft Exchange belum menginstal patch untuk ProxyToken, mereka harus memprioritaskan tugas tersebut.

Selengkapnya: Bleeping Computer

Microsoft memperingatkan ribuan pengguna komputasi cloud tentang database yang terbuka

by

Microsoft pada hari Kamis memperingatkan ribuan pelanggan komputasi cloud nya, termasuk beberapa perusahaan terbesar di dunia, bahwa penyusup dapat memiliki kemampuan untuk membaca, mengubah atau bahkan menghapus basis data utama mereka, menurut salinan email dan peneliti keamanan siber.

Kerentanan ada di database Cosmos DB andalan Microsoft Azure. Sebuah tim peneliti di perusahaan keamanan Wiz menemukan bahwa ia dapat mengakses kunci yang mengontrol akses ke database yang dimiliki oleh ribuan perusahaan. Wiz Chief Technology Officer Ami Luttwak adalah mantan chief technology officer di Microsoft Cloud Security Group.

Karena Microsoft tidak dapat mengubah kunci itu sendiri, ia mengirim email kepada pelanggan pada hari Kamis untuk meminta mereka membuat yang baru. Microsoft setuju untuk membayar Wiz US$40.000 untuk menemukan cacat dan melaporkannya, menurut email yang dikirim ke Wiz. “Kami segera memperbaiki masalah ini untuk menjaga keamanan dan perlindungan pelanggan kami. Kami berterima kasih kepada para peneliti keamanan karena bekerja di bawah pengungkapan kerentanan yang terkoordinasi,” kata Microsoft kepada Reuters.

Tim Luttwak menemukan masalah tersebut, yang disebut ChaosDB, pada 9 Agustus dan memberi tahu Microsoft pada 12 Agustus, kata Luttwak. Cacatnya ada di alat visualisasi yang disebut Jupyter Notebook, yang telah tersedia selama bertahun-tahun tetapi diaktifkan secara default di Cosmos mulai Februari. Setelah Reuters melaporkan kekurangan tersebut, Wiz merinci masalah tersebut dalam sebuah posting blog.

Microsoft mengatakan kepada Reuters bahwa “pelanggan yang mungkin terkena dampak menerima pemberitahuan dari kami,” tanpa menjelaskan lebih lanjut.

Selengkapnya: Business Today

Microsoft: Bug ProxyShell “mungkin dieksploitasi”, tambal server Anda sekarang!

by

Microsoft akhirnya menerbitkan panduan hari ini untuk kerentanan ProxyShell yang dieksploitasi secara aktif yang berdampak pada beberapa versi Microsoft Exchange lokal.

ProxyShell adalah kumpulan dari tiga kelemahan keamanan (ditambal pada bulan April dan Mei) yang ditemukan oleh peneliti keamanan Devcore Orange Tsai, yang mengeksploitasinya untuk menyusup ke server Microsoft Exchange selama kontes peretasan Pwn2Own 2021:

  • CVE-2021-34473 – Pre-auth path confusion leads to ACL Bypass (Patched in April by KB5001779)
  • CVE-2021-34523 – Elevation of privilege on Exchange PowerShell backend (Patched in April by KB5001779)
  • CVE-2021-31207 – Post-auth Arbitrary-File-Write leads to RCE (Patched in May by KB5003435)

Meskipun Microsoft sepenuhnya menambal bug ProxyShell pada Mei 2021, mereka tidak menetapkan ID CVE untuk kerentanan hingga Juli, mencegah beberapa organisasi dengan server yang belum ditambal mengetahui bahwa mereka memiliki sistem yang rentan di jaringan mereka.

Microsoft mengatakan bahwa pelanggan harus menginstal SETIDAKNYA SATU dari pembaruan kumulatif terbaru yang didukung dan SEMUA pembaruan keamanan yang berlaku untuk memblokir serangan ProxyShell.

Per Microsoft, server Exchange rentan jika salah satu dari kondisi berikut ini benar:

  • Server menjalankan CU yang lebih lama dan tidak didukung;
  • Server menjalankan pembaruan keamanan untuk versi Exchange yang lebih lama dan tidak didukung yang dirilis pada Maret 2021; atau
  • Server menjalankan CU yang lebih lama dan tidak didukung, dengan penerapan mitigasi EOMT Maret 2021.

Selengkapnya: Bleeping Computer